La fecha límite de IAB Europe para adoptar el Transparency & Consent Framework versión 2.3 fue el 28 de febrero de 2026. Si tu SaaS usa publicidad programática, monetiza con anuncios en el EEE o en Reino Unido, o depende de una Consent Management Platform que participa en el framework de IAB, esa fecha te aplicaba. Ya han pasado más de dos meses desde el corte. Muchos publishers y vendors siguen emitiendo cadenas TCF 2.2, lo que significa que sus señales de consentimiento son inválidas a los ojos de TCF, las peticiones de anuncios se degradan a "Limited Ads" y los ingresos programáticos se han ido erosionando en silencio. Este artículo recorre qué es realmente TCF, qué cambió en 2.3, cómo verificar si tu implementación actual es válida y los pasos de migración si vas con retraso.

Qué es TCF, y qué no es

IAB Europe describe TCF como "una herramienta de rendición de cuentas que se apoya en la estandarización para facilitar el cumplimiento de ciertas disposiciones de la Directiva ePrivacy y del RGPD". Es un estándar voluntario, no un mandato regulatorio. Puedes operar un SaaS en el EEE para siempre sin tocar TCF, siempre que tampoco participes en el ecosistema programático que lo usa.

Donde TCF se vuelve obligatorio en la práctica es en el momento en que tu negocio se cruza con la ad tech programática. Ese cruce tiene tres roles:

  • Publishers: sitios y apps que muestran anuncios y necesitan pasar señales de consentimiento a las redes publicitarias.
  • Vendors: empresas de ad tech (SSPs, DSPs, DMPs, analytics) que leen las cadenas de consentimiento y se comportan según ellas.
  • CMPs: Consent Management Platforms que recogen el consentimiento del usuario final y lo codifican en una TC string.

Si tu SaaS no es ninguno de los tres, TCF no te regula. Si eres alguno, TCF 2.3 es tu nivel base.

El cambio de TCF 2.3 que quizá se te pasó

El cambio principal de TCF 2.2 a 2.3 es pequeño en código y grande en consecuencias: la sección "Disclosed Vendors" ahora es obligatoria en la TC string. IAB Europe lo posicionó como la resolución de la ambigüedad de interés legítimo que llevaba siendo un punto caliente desde el primer lanzamiento del framework.

En términos prácticos, las cadenas de la versión 2.3 llevan una lista explícita de qué vendors mostró realmente el publisher al usuario, en lugar de implicar la lista completa. Esto importa porque los reguladores (en particular la APD belga y la CNIL francesa) habían dictaminado que el interés legítimo en TCF 2.2 se estaba invocando con demasiada amplitud, con publishers pasando TC strings que afirmaban consentimientos de vendor que en realidad no habían obtenido.

La migración en sí se gestiona casi toda a nivel de CMP. Si tu proveedor de CMP (OneTrust, Cookiebot, CookieYes, Didomi, Sourcepoint, Quantcast, Consentmanager, Usercentrics) ha publicado soporte TCF 2.3, puede que ya estés ahí. La trampa son los publishers y vendors que no actualizaron sus integraciones para leer el nuevo formato. Sus backends siguen parseando cadenas con forma 2.2 y degradando en silencio.

El coste de no migrar no es una multa, es pérdida silenciosa de ingresos. Las cadenas inválidas con forma 2.2 hacen que las peticiones de anuncios caigan al modo "Limited Ads" en los SSPs principales. Las estimaciones del sector publicadas antes del plazo situaban el impacto potencial en más del 50% del inventario programático. El daño se siente a fin de mes en el reporte de ingresos, no en una carta del regulador.

Cómo verificar si tu implementación actual sigue siendo válida

La auditoría toma una hora y no requiere cambios de código. Tres verificaciones:

  1. Inspecciona tu TC string. Abre tu sitio, abre el CMP, acepta algunas categorías y captura la salida de __tcfapi en la consola del navegador. La cadena lleva un byte de versión. Versión 2 sin sección Disclosed Vendors es TCF 2.2 o anterior. Versión 2 con la sección Disclosed Vendors rellena es TCF 2.3.
  2. Verifica la versión de TCF Policy de tu CMP. La mayoría de los CMPs exponen un ajuste de "TCF Policy Version". Debe marcar 5 (la versión de policy que corresponde a TCF 2.3). Si marca 4 o inferior, sigues en 2.2.
  3. Comprueba la URL de tu vendor list. La Global Vendor List (GVL) versión 3 corresponde a TCF 2.3. Versiones anteriores de la GVL corresponden a 2.2.

Si las tres verificaciones devuelven TCF 2.3, estás al día. Si alguna devuelve 2.2, tus cadenas son inválidas para los vendors aguas abajo que aplican el enforcement de IAB y deberías migrar ya.

Cómo migrar si vas con retraso

Los pasos mecánicos:

  1. Actualiza tu CMP a la última versión. Todos los CMPs principales publicaron builds compatibles con TCF 2.3 en 2025. Si el tuyo no lo hizo, es más bien una decisión de compras que de configuración.
  2. Vuelve a recoger consentimiento de los usuarios existentes. Las cadenas 2.3 no son señales compatibles hacia atrás; no puedes actualizar una cadena 2.2 en el sitio. El CMP muestra el banner de nuevo en la primera visita tras la migración y el usuario toma una nueva decisión.
  3. Actualiza las integraciones de vendors. Si embebes algún ad tech directo (Google Ad Manager, Amazon DSP, Criteo), confirma que cada integración lee cadenas TCF 2.3. La configuración suele ser un único flag o variable de entorno.
  4. Valida de punta a punta. Usa una de las herramientas de validación publicadas por IAB, o apóyate en la auditoría incorporada de tu CMP, para confirmar que la cadena la leen correctamente tus partners de ingresos más grandes.
  5. Documenta la fecha de la migración en tu log de operaciones de privacidad. Los auditores y las APD que pregunten por cumplimiento de TCF querrán una fecha.

Cuándo TCF no aplica (aclarando el alcance)

El framework es para publicidad programática y para las señales de consentimiento que fluyen por ella. Un número sorprendente de equipos SaaS adopta TCF sin necesitarlo, porque su proveedor de CMP les vende "cumplimiento TCF" como opción por defecto. Si tu SaaS no muestra anuncios, no trabaja con redes publicitarias y no necesita pasar señales de consentimiento a vendors de terceros, no necesitas TCF. Un banner conforme con ePrivacy más simple (con paridad entre Aceptar y Rechazar, sin disparo previo de trackers y con un registro de consentimiento versionado) es suficiente.

La línea está en si tu recogida de consentimiento tiene que ser interoperable con infraestructura publicitaria de terceros. Si sí, TCF es el estándar. Si no, un banner más simple es más rápido de desplegar y más fácil de mantener.

Dónde encaja Termerly (y dónde no)

El banner de consentimiento de Termerly explícitamente no es compatible con TCF. No produce TC strings, no se registra en la Global Vendor List y no participa en el framework de IAB. Esa es una decisión de alcance deliberada, no un hueco. Termerly apunta al caso más simple: un SaaS que no hace publicidad programática, necesita un banner para analytics y cookies de producto, y se beneficia de un registro de consentimiento versionado ligado al texto exacto de la política que vio el usuario.

Si estás leyendo este artículo y tu SaaS está en el caso simple, Termerly te da un banner con paridad por defecto, una página legal permanente para la política de cookies y un log de consentimiento mapeado a versiones de política. El banner se incrusta con un solo script async y se actualiza sin redespliegues.

Si tu SaaS está en el caso programático, necesitas un CMP con TCF 2.3. Termerly no lo es, y está bien. Usa un CMP dedicado para la capa de consentimiento y Termerly para las páginas legales subyacentes a las que enlazan esos banners.

Conclusión

El plazo del 28 de febrero de 2026 no llegó con multa. Llegó con cadenas TC inválidas, defaults en "Limited Ads" y una fuga lenta en los ingresos programáticos. La auditoría para revisar tu estado es corta, la migración es sobre todo configuración del CMP y el coste de no hacer nada se paga cada mes en forma de CPMs publicitarios más blandos. Para los equipos SaaS que nunca necesitaron TCF para empezar, la lección es la inversa: no adoptes TCF por defecto solo porque tu proveedor de CMP lo ofrezca. Un banner ePrivacy más simple es más rápido y más honesto.

Si tu SaaS no hace publicidad programática y el banner que necesitas es el simple, abre un proyecto gratis en Termerly y despliega esta semana un banner con paridad por defecto y registro de consentimiento versionado. Si estás en el caso programático, prioriza primero la migración a TCF 2.3 y vuelve a por las páginas legales subyacentes cuando las cadenas vuelvan a ser válidas.